Durant anys, la pregunta en matèria de ciberseguretat apuntava sempre a l’organització:
“Tenim mesures de seguretat suficients?”
La Cyber Resilience Act (CRA) amplia el focus. A partir d’ara, la pregunta també apunta el producte:
“El programari o dispositiu que desenvolupem, distribuïm o comercialitzem ha estat dissenyat de forma segura? I ho continuarà sent al llarg de tota la seva vida útil?”
No és un matís menor. És un canvi de paradigma que afecta fabricants, desenvolupadors, distribuïdors i proveïdors tecnològics a tot Europa.
Què és exactament la CRA
La Cyber Resilience Act és un reglament europeu que estableix requisits obligatoris de ciberseguretat per a qualsevol producte amb elements digitals que es comercialitzi a la Unió Europea.
La lògica és clara: massa productes arriben al mercat amb vulnerabilitats conegudes, sense actualitzacions planificades i sense cap procés formal de gestió d’incidències. La CRA vol canviar això.
Per això introdueix conceptes que fins ara eren recomanacions o bones pràctiques i els converteix en obligacions:
- Seguretat per disseny (Security by Design): la seguretat no s’afegeix al final, es planifica des del començament.
- Seguretat per defecte (Security by Default): la configuració inicial ha de ser segura, sense que l’usuari hagi de fer res.
- Gestió contínua de vulnerabilitats: identificar, prioritzar, posar remei i documentar durant tot el cicle de vida del producte.
- Obligacions de notificació: si detectes una vulnerabilitat explotada activament, tens 24 hores per emetre una alerta primerenca.
- Transparència sobre suport: has d’informar amb claredat quant de temps rebrà actualitzacions de seguretat el producte.
No es tracta de passar una auditoria puntual. La CRA converteix la seguretat en un procés viu i demostrable.
A qui afecta: més del que sembla
Aquí és on moltes organitzacions se sorprenen. La CRA no només afecta fabricants de maquinari o grans plataformes. Afecta:
- Programari empresarial i aplicacions SaaS
- Dispositius IoT i maquinari connectat
- Aplicacions mòbils
- Plataformes cloud
- Sistemes industrials connectats
I no només a qui desenvolupa, sinó també a qui distribueix o importa productes digitals a Europa.
Si la teva empresa desenvolupa programari, ven llicències, ofereix serveis com SaaS o integra productes de tercers a les seves solucions, la CRA probablement t’aplica.
El calendari: menys temps del que sembla
L’aplicació completa del reglament arriba al desembre de 2027 , però hi ha una data anterior que no s’ha de perdre de vista:
11 de setembre de 2026 — Entren en vigor les obligacions de notificació de vulnerabilitats explotades activament i incidents greus.
Això és poc més d’un any. I preparar processos de notificació robusts que funcionin en 24 hores no és una cosa que es construeixi en unes setmanes.
Les tres implicacions que més canvien el dia a dia
1. Desenvolupar programari ja no és suficient: cal demostrar-ho
La CRA no demana si el teu producte és segur. Demana si pots demostrar que ho és. Això significa tenir documentació tècnica, registres de vulnerabilitats, historial d’actualitzacions, processos formalitzats de resposta a incidents… i poder-los presentar davant d’un regulador o un client en qualsevol moment.
2. La cadena de subministrament es converteix en responsabilitat pròpia
Una vulnerabilitat pot entrar per una llibreria open source, una API de tercers, un component SaaS integrat o un proveïdor extern. La CRA estén la responsabilitat més enllà del teu codi. Si el teu producte incorpora components de tercers, cal saber quin risc representa cadascun.
3. Els temps de resposta s’escurcen dràsticament
24 hores per emetre una alerta primerenca davant d’una vulnerabilitat explotada activament. Si el vostre procés de gestió d’incidents depèn de correus, trucades i fulls de càlcul, aquest termini es pot tornar impossible de complir.
Quines capacitats necessites tenir (o construir)
La CRA no prescriu eines concretes, però sí que deixa clar quins processos han d’existir. En la nostra experiència treballant amb organitzacions tecnològiques, aquests són els blocs fonamentals:
Gestió de riscos i actius Inventari actualitzat de productes i components, identificació d’amenaces, avaluació d’impacte i seguiment del risc residual. Sense això, no pots saber quines vulnerabilitats t’afecten ni amb quina urgència. –> Risk Manager
Gestió de la cadena de subministrament Homologació de proveïdors, avaluacions periòdiques, qüestionaris de seguretat, evidències documentades. Un proveïdor sense avaluar és un risc sense mesurar. –> Third Party Manager
Gestió de vulnerabilitats Identificació, priorització, remediació i manteniment d’un historial auditable. El regulador pot demanar aquest historial. –> Incident Manager
Gestió d’incidents Registre, classificació, assignació de responsables, plans de resposta i traçabilitat. No com un document en un calaix, sinó com un procés actiu que funcioni sota pressió. –> Incident Manager
Documentació tècnica i polítiques Polítiques, procediments, registres, acceptacions, evidències. La documentació no és burocràcia: és la prova que fas bé les coses. –> Policy Manager .
Comunicació de seguretat cap a clients Cada cop més clients pregunten com gestiones la seguretat abans de signar un contracte. Tenir una resposta clara, centralitzada i actualitzada –certificacions, polítiques, evidències– pot marcar la diferència en un procés comercial. –> Trust Center
La CRA no és només un cost de compliment
Vist des de fora, la CRA pot semblar una càrrega regulatòria més. Però hi ha una altra manera de llegir-lo.
Les organitzacions que siguin capaces de demostrar que gestionen la seguretat dels seus productes de forma rigorosa –amb processos documentats, temps de resposta ràpids i transparència cap als seus clients– tindran un avantatge real davant de competidors que segueixin depenent de processos informals.
En un mercat on la confiança digital és cada cop més un criteri de compra, el compliment de la CRA es pot convertir en un argument comercial.
La pregunta no és només si compliràs la CRA. És si podràs demostrar-ho de manera eficient quan algú t’ho demani.
A ithikios hem desenvolupat diferents mòduls que t’ajudaran a complir amb la CRA ia demostrar el compliment amb el Trust Center , Incident Manager , Third Party Manager , Risk Manager i Policy Manager .
